Windows: Lỗi chưa vá cho phép hacker bypass màn hình khóa trong các phiên RDP

Windows: Lỗi chưa vá cho phép hacker bỏ qua màn hình khóa trong các phiên RDP

Một nhà nghiên cứu bảo mật mới đây đã tiết lộ chi tiết về lỗ hổng chưa được vá trong giao thức RDP của Microsoft (Remote Desktop Protocol).

Lỗ hổng được báo cáo mang số hiệu CVE-2019-9510 có thể cho phép kẻ tấn công phía client (client-side) bỏ qua màn hình khóa trên các phiên remote desktop (RD).

Joe Tammariello thuộc Viện Kỹ thuật phần mềm Đại học Carnegie Mellon (SEI) đã khám phá ra lỗ hổng tồn tại khi tính năng Microsoft Windows Remote Desktop yêu cầu các client xác thực với Network Level Authentication (NLA), một tính năng mà Microsoft gần đây đã đề xuất như một giải pháp chống lại lỗ hổng nghiêm trọng BlueKeep RDP.

Will Dormann, nhà phân tích lỗ hổng tại CERT / CC cho biết nếu sự bất thường của mạng kích hoạt ngắt kết nối RDP tạm thời trong khi client đã được kết nối với server nhưng màn hình đăng nhập bị khóa thì sau đó khi kết nối lại, phiên RDP sẽ được khôi phục trạng thái mở khóa, bất kể hệ thống từ xa còn lại như thế nào.

Các hệ thống xác thực hai yếu tố tích hợp với màn hình đăng nhập Windows, như Duo Security MFA cũng bị bỏ qua khi sử dụng cơ chế này. Điều tương tự cũng sẽ xảy ra đối với các banner đăng nhập do 1 tổ chức thực thi.

Video mô phỏng PoC

Leandro Velasco từ Nhóm nghiên cứu bảo mật KPN đã chia sẻ video PoC cho thấy việc khai thác lỗ hổng này trên thực tế vô cùng dễ dàng.

Video PoC của lỗ hổng CVE-2019-9510

CERT mô tả kịch bản tấn công như sau:

  • Người dùng được nhắm mục tiêu kết nối với hệ thống Windows 10 hoặc Server 2019 thông qua RDS.
  • Người dùng khóa phiên từ xa và khiến thiết bị client không được giám sát.
  • Tại thời điểm này, kẻ tấn công truy cập vào thiết bị client có thể làm gián đoạn kết nối mạng và có quyền truy cập vào hệ thống từ xa mà không cần bất kỳ thông tin xác thực nào.

Điều này có nghĩa là việc khai thác lỗ hổng này cực kỳ đơn giản vì kẻ tấn công chỉ cần làm gián đoạn kết nối mạng của một hệ thống được nhắm mục tiêu.

Tammariello đã thông báo cho Microsoft về lỗ hổng này vào ngày 19 tháng 4, nhưng công ty đã phản hồi rằng hành vi đó không đáp ứng Tiêu chí phục vụ bảo mật của Microsoft cho Windows, đồng nghĩa với việc “gã khổng lồ công nghệ” sẽ không có kế hoạch khắc phục sự cố sớm.

Dẫu vậy, người dùng vẫn có thể tự bảo vệ mình trước khả năng khai thác lỗ hổng này bằng cách khóa hệ thống local thay vì hệ thống từ xa và ngắt kết nối các phiên remote desktop thay vì chỉ khóa chúng.

THN